EnemyBot รุ่นล่าสุดรวมช่องโหว่ได้ 24 จุด แต่มีหลายช่องโหว่ที่ไม่มีหมายเลข CVE
EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายชนิด กำลังขยายการเข้าถึงโดยการเพิ่มช่องโหว่ในเว็บเซิร์ฟเวอร์, ระบบจัดการเนื้อหา(CMS), IoT และอุปกรณ์ Android จุดประสงค์คือเปิดตัวการโจมตีแบบปฏิเสธการให้บริการ (DDoS) อีกทั้งมัลแวร์ยังมีโมดูลสำหรับสแกนหาอุปกรณ์เป้าหมายใหม่ และแพร่กระจาย
AT&T Alien Labs ระบุว่า EnemyBot รุ่นล่าสุดรวมช่องโหว่ได้ 24 จุด แต่มีหลายช่องโหว่ที่ไม่มีหมายเลข
CVE ซึ่งทำให้ใช้การป้องกันได้ยากขึ้น โดยข้อบกพร่องส่วนใหญ่ที่เกี่ยวข้องกับเราเตอร์และอุปกรณ์ IoT
โดยช่องโหว่ที่เพิ่มขึ้นของ EnemyBot มีดังนี้ :
- CVE-2022-22954 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ VMware Workspace
ONE Access และ VMware Identity Manager - CVE-2022-22947 (CVSS: 6.8) ช่องโหว่ใน Spring Cloud Gateway โดยผู้ไม่ประสงค์ดีสามารถสร้างคำขอ และอาจอนุญาตให้มีการดำเนินการบนโฮสต์ระยะไกลได้
- CVE-2022-1388 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลกระทบต่อ F5 BIG-IP
ซึ่งโจมตีอุปกรณ์ปลายทางที่มีช่องโหว่ด้วยการเข้าครอบครองอุปกรณ์ PoC
จุดประสงค์หลักของ EnemyBot คือการโจมตี DDoS แต่ควรพิจารณาความเป็นไปได้อื่นๆ ด้วย
(เช่น cryptomining) เนื่องจากมัลแวร์กำลังกำหนดเป้าหมายอุปกรณ์ที่มีประสิทธิภาพมากขึ้น
| URL | |
| http[:]//198[.]12[.]116[.]254/folder/dnsamp[.]txt | http[:]//198[.]12[.]116[.]254/folder/enemybotppc-440fp |
| http[:]//198[.]12[.]116[.]254/folder/enemybotarm | http[:]//198[.]12[.]116[.]254/folder/enemybotsh4 |
| http[:]//198[.]12[.]116[.]254/folder/enemybotarm5 | http[:]//198[.]12[.]116[.]254/folder/enemybotspc |
| http[:]//198[.]12[.]116[.]254/folder/enemybotarm64 | http[:]//198[.]12[.]116[.]254/folder/enemybotx64 |
| http[:]//198[.]12[.]116[.]254/folder/enemybotarm7 | http[:]//198[.]12[.]116[.]254/folder/enemybotx86 |
| http[:]//198[.]12[.]116[.]254/folder/enemybotbsd | http[:]//198[.]12[.]116[.]254/folder/enemybotx64 |
| http[:]//198[.]12[.]116[.]254/folder/enemybotdarwin | http[:]//198[.]12[.]116[.]254/update[.]sh |
| http[:]//198[.]12[.]116[.]254/folder/enemyboti586 | http[:]//198[.]12[.]116[.]254/folder/enemybotmips |
| http[:]//198[.]12[.]116[.]254/folder/enemyboti686 | http[:]//198[.]12[.]116[.]254/folder/enemybotmpsl |
| http[:]//198[.]12[.]116[.]254/folder/enemybotm68k | http[:]//198[.]12[.]116[.]254/folder/enemybotppc |
IOCS
| SHA256s |
| 5260b9a859d936c5b8e0dd81c0238de136d1159e41f0b148f86e2555cf4a4e38 |
| bf2f2eb08489552d46b8f50fb07073433f4af94e1215865c48d45f795f96342f |
| adb51a8d112590a6fdd02ac8d812b837bbe0fcdd762dba6bbba0bd0b538f9aef |
| 373b43345a7e4a6b1d5a6d568a8f6a38906760ea761eacd51a11c164393e4bad |
| b56655c3c9eed7cd4bce98eeebdcead8daa75a33498ad4f287c753ecc9554aca |
| cebd50b3a72a314c935b426c0e6b30ec08e0e0cb53e474efffb66f0907309243 |
| 73e929575afc04758a23c027ebe4f60ab5c4ba0ab7fa8756b27ed71548302009 |
| 33d282c6bccf608d4fbf3a211879759019741c1b822c6cea56c6f479be598367 |
| 80f264d7b45a52bd000165f3f3b0fdc0e405f3f128a60a9ec6f085bfba114971 |
| 9acf649b74f4aae43a2db90b8d39a7cd39bf6b82c995da7a1ffa6f23c3549b14 |
แนะนำ
- อัพเดตอุปกรณ์ และซอต์ฟแวร์ให้เป็นเวอร์ชันล่าสุดทันที
- บล็อก IoCs ดังกล่าวทั้งหมด
- เฝ้าระวังการรับส่งข้อมูลในเครือข่าย โดยเฉพาะการเชื่อมต่อขาออก
- ติดตั้ง Web Application Firewall
- ควรสำรองข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform)
- ควรแสกนไวรัสในเครื่องอย่างสม่ำเสมอ
- ควรตระหนักถึงภัยคุกคามทางไซเบอร์
Ref: https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/
Ref IOCS: https://www.rewterz.com/rewterz-news/rewterz-threat-alert-enemybot-active-iocs